Header Ads

¿Quién ha enviado este correo?

Los correos electrónicos cubren una parte importante de la comunicación de nuestros días. La mayor parte de los correos recibidos corresponden a personas o entidades que conocemos, o bien son parte del Spam que lamentablemente nos hemos acostumbrado a recibir.

Si bien existen productos que nos ayudan a disminuir la cantidad de Spam recibido, existen algunos otros correos que no estan dentro de esta categoría y pueden mantener el mismo carácter nocivo o delictivo.

Existen correos de cuentas fantasmas o anónimas, donde los datos del remitente no son proporcionados con el fin de ocultar su identidad y realizar dentro de esta modalidad algún tipo de delito, estafa o bien injurias a un destinatario en particular.

Por ejemplo phishing (estafas relacionadas con el robo de usuarios y contraseñas bancarias), cyberbulling (acoso por Internet/email), etc.

Pero el anonimato no es tal si es posible identificar la ruta hasta el emisor basándonos de la información invisible que el correo electrónico transporta. Aquí una breve reseña de conceptos básicos que podrán ser útiles.


Los mensajes de su origen a su destino, son transportados por diferentes direcciones IP (y consecuentes servidores) a través de Internet. Estas direcciones IP identifican cada uno de los puntos que el mensaje recorrió hasta su destino final. La información de cada una de estas direcciones es almacenada en la cabecera del correo electrónico, la cual es invisible a los usuarios de manera directa, pero de fácil accesibilidad.

La secuencia de IP, la podríamos asociar como el viajero que debe recorrer varios países hasta llegar al país destino final. Es por ello, que junto con su pasaporte, cada control de aduana debe certificar su entrada o salida a cada uno de los países recorridos. Esto hace rastreable de alguna manera la trazabilidad del recorrido del viajero. Si bien existen muchos mas IP que países en el mundo, inclusive las IP identifican un usuario en particular, mantenemos el ejemplo como didáctico y apropiado.

¿Cómo encontrar las direcciones IP en la cabecera de los correos?

Los correos se presentan con la información visible que el usuario necesita vinculada con quién envió el correo, hacia quienes fue dirigido, las copias respectivas, el título o asunto del correo y el contenido, con la posibilidad de agregados de archivos adjuntos.

Generalmente los usuarios no consultan la cabecera de los correos, ya que la misma no es visible directamente pese a que se encuentran en el mismo correo que uno recibe. Dependiendo de la aplicación que utilicemos, la visualización de la cabecera es más o menos fácil consultarla (debajo le indicamos de cómo realizarlo a través de Microsoft Outlook).

La cabecera del correo incluye varias líneas de texto, algunas codificadas y otras no. Una de las etiquetas o campo de comienzo de línea que hay que tener presente es “Received: from:”, donde se indica los datos identificatorios de la dirección IP como así también la información complementaria al recorrido realizado por el correo.

Ejemplos de “Received: from:”, pueden ser:
              Received:  from [190.51.236.31]
              by cancerbero 2.7.40 (us32.toservers.com) is AUTH
              Received:  from [66.196.94.59]
              by t15.bullet.mail.sp1.yahoo.com with NNFMP;              
              19 Jul 2010 02:46:53 -0000

La secuencia de datos que acompañan a “Received” son incluidas automáticamente por cada uno de los servidores de correo por donde éste pasa para llegar hasta destino. Si solo aparece un “Received” indica que la dirección IP que allí aparece es la propia del origen o remitente.

En el caso que aparezcan varias etiquetas “Received” indica indiscutiblemente que el mensaje transportado en el correo, tuvo que recorrer diferentes servidores en su recorrido de punta a punta. Por consiguiente la última línea que contiene un “Received” es la IP correcta que está necesitando para identificar el origen del correo enviado.

Esto es así, siempre y cuando un Spammer no haya incluido falsos “Received: from:” a fin de engañar la secuencia de investigación del recorrido.

A fin de determinar si la cabecera fue distorsionada intencionalmente, debemos analizar la secuencia de abajo hacia arriba de la dirección IP que acompaña a “by” (sending) con la propia que sigue a “from” (receiving) inmediata superior. En caso que no fueran las mismas indicaría que la línea fue incluida intencionalmente. En caso que la secuencia no se corresponda con lo antedicho no lo considere como parte de la ruta que el correo ha realizado. Luego de esto entonces si es factible confirmar que la última línea con información válida correcta es la que contiene la dirección e información del remitente del correo.

¿Cómo encontrar las direcciones IP desde el Microsoft Outlook?

A continuación le indicamos como descubrir la información guardada en la cabecera de los correos utilizando el aplicativo Oulook de Microsoft:
  1. Como primer paso deberá abrir Microsoft Outlook y seleccionar el correo bajo investigación. Deje resaltado el correo, sin abrirlo.
  2. Luego haga clic derecho en el correo, lo cual desplegará un menú donde deberá seleccionar la última opción (si es que no difiere al momento de la lectura de este artículo) bajo el nombre “Opciones” u “Options”.
  3. Se abrirá una ventana, donde se deberá ir al cuadro titulado “Encabezados de Internet” o “Internet headers”. Allí encontrará una serie de datos referenciales al correo seleccionado. Entre ellos deberá prestarle atención a los correspondientes con la etiqueta “Received: from:”. A continuación de cada una de estas etiquetas se encontrará la dirección IP respectiva, como así un conjunto de datos complementarios a la misma. Las direcciones IP de todos los puntos recorridos en la ruta del origen a destino, se verán reflejadas en una secuencia de “Received: from:”, que deberán ser leída de abajo hacia arriba.
  4. Para consultar a quién pertenece cada una de las IP podrá ingresar a: ARIN (American Registry for Internet Numbers) https://ws.arin.net/whois/ ; o a LACNIC (Latin American and Caribbean Internet Addresses Registry) http://lacnic.net/cgi-bin/lacnic/whois . Luego introduzca la dirección IP a consultar y presione el botón de búsqueda respectivo. La búsqueda dará como resultado la siguiente información entre otros datos: Nombre del organismo asociado, dirección postal, ciudad, provincia, país, información relevante con los servidores asociados, teléfonos y correo de contacto.
  5. Si es necesario obtener mayor información a la suministrada por los sitios anteriores mencionados, en complemento con la información de la cabecera del correo, fechas y horarios respectivos, se podrá consultar directamente a los host a través de los puntos de contacto ofrecidos.

Falsificando el remitente de la información

Puede ocurrir que el usuario reciba información que según la información visible por la aplicación nos indique que se trate de un correo en particular, cuando en realidad el que lo originó utilizó un correo, nombre o servidor totalmente diferentes.

El análisis de la cabecera sobre la línea de “Received” origen del correo, nos permite comparar el nombre del remitente del mismo, junto con la dirección IP que envió dicho correo, que deberían corresponderse en el dominio de ambos si el correo es original y debería presentar algún tipo de diferencia si el falsificador está tratando de ocultar su identidad u origen real del correo en cuestión.


Les adjunto algunos links que resultarán de su interés:

 Fuente: 2010

No hay comentarios.

Copyright 2008 - 2016: CXO Community - Todos los derechos reservados. Imágenes del tema de Petrovich9. Con tecnología de Blogger.